1 / 25

System Użytkowników Wirtualnych

System Użytkowników Wirtualnych. Michał Jankowski Paweł Wolniewicz jankowsk@man.poznan.pl pawelw@man.poznan.pl. Spis treści. Podstawowe pojęcia Uwierzytelnianie w Globusie Autoryzacja w Globusie System Użytkowników Wirtualnych Jak uzyskać certyfikat?. Uwierzytelnianie (Authentication).

uta-boyle
Download Presentation

System Użytkowników Wirtualnych

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. System Użytkowników Wirtualnych Michał Jankowski Paweł Wolniewicz jankowsk@man.poznan.pl pawelw@man.poznan.pl

  2. Spis treści • Podstawowe pojęcia • Uwierzytelnianie w Globusie • Autoryzacja w Globusie • System Użytkowników Wirtualnych • Jak uzyskać certyfikat?

  3. Uwierzytelnianie (Authentication) • Udowodnienie tożsamości • Skąd komputer ma wiedzieć, że łączy się z nim Kowalski • Skąd Kowalski ma wiedzieć, że łączy się z tym komputerem z którym chciał (np. z serwisem bankowym)

  4. Autoryzacja (authorisation) • Sprawdzenie prawa do przeprowadzenia określonej operacji Przykłady operacji: • Logowanie na maszynę • Zlecenie zadania • Dostęp do plików

  5. Certyfikat • Plik zawierający dane identyfikujące użytkownika (lub komputer, lub usługę) podpisany cyfrowo przez kogoś komu ufamy. • Analogia – certyfikat jest pewnego rodzaju dowodem osobistym pozwalającym ustalić tożsamość właściciela.

  6. Centrum certyfikacji (Certificate authority) • Organizacja (lub osoba) wystawiająca certyfikaty. • Obowiązuje zasada zaufania – uznajemy, że dane centrum certyfikacji jest wiarygodne w ramach danej grupy, organizacji lub projektu • Analogia – urząd miasta wystawiający dowody osobiste

  7. Uwierzytelnianie w Globusie • Każde połączenie sieciowe w Globusie wykorzystuje certyfikat użytkownika i serwera (lub usługi) • Administrator serwera definiuje listę akceptowanych CA w zależności od potrzeb (umieszcza klucze publiczne CA w katalogu /etc/grid-security/certificates)

  8. UWAGA!!!!! • Akceptowanie certyfikatów CA nie oznacza zezwolenia na dostęp do zasobów. • Sprawdzenie i akceptacja certyfikatu gwarantuje jedynie tożsamość osoby łączącej się przez sieć. • Administrator zasobów nadaje prawa dostępu do zasobów.

  9. Autoryzacja w Globusie • Aby uruchamiać zadania w gridzie TRZEBA być wpisanym do pliku grid-mapfile na każdym klastrze w gridzie. • Jest to mało praktyczne, dlatego powstał System Użytkowników Wirtualnych (VUS)

  10. 2. Czy Kowalska należy do Clusterix? 1. Uruchom zadanie 6. Wyniki 3. TAK VUS -jak to działa? 7. Jeśli konto nie jest używane, można na nie zalogować innego użytkownika Kowalska VOIS 4. Zaloguj użytkownika na jedno z kont Clusterix (zawsze 1 użytkownik na 1 konto w danej chwili) 5. Wykonaj zadanie

  11. Clusterix Clusterix PCZ Cyfronet PCSS TUC Cyfronet PSNC staff operators programiści staff Lab_users Scientists operators programmers staff Lab_users Grid Node guests common power login: login: login: login: login: login: login: login: login: login: login: Autoryzacja VOIS - Przykład Hierarchia VO Polityka bezp. administratora VO Grupy kont Polityka bezp.administratora zasobów

  12. VUS -zalety • Mały narzut administracyjny (brak kont „osobistych”) • Konta nie są przypisane na stałe, ale można śledzić historię przypisań • Mieszana polityka bezpieczeństwa zarządcy VO i administratora zasobu • Możliwość różnicowania uprawnień • Możliwość zablokowania niechcianych użytkowników • Wtyczki autoryzujące -elastyczność

  13. Jak uzyskać certyfikat?Polish Grid CA • http://www.man.poznan.pl/plgrid-ca • Certyfikat można otrzymać dla hosta/serwisu z Polski związanego niekomercyjnie z Gridem. • Należy utworzyć „certificate request” i wysłać go do plgrid-ca@man.poznan.pl • W Globusie polecenie grid-cert-request • List należy podpisać certyfikatem administratora

  14. VUS - Instalacja i konfiguracja • Krok po kroku: http://clx.task.gda.pl/docbook/html/VUS_conf_guide.html • Zainstalować • Utworzyć grupę i konta „wirtualne” • Uruchomić skrypt prepare-db.sh • Skonfigurować dostęp do bazy • Utworzyć plik /etc/grid-security/gsi-authz.conf • W razie potrzeby zmodyfikować plik /etc/grid-security/vuam-config

  15. Pytania? http://vus.psnc.pl vus@man.poznan.pl

  16. Łańcuch certyfikatów Przykład: • Certyfikat Kowalskiego może być podpisany certyfikatem Nowaka, który ma certyfikat podpisany przez PCSS, który ma certyfikat podpisany przez VERISIGN. • Plik z certyfikatem Kowalskiego zawiera certyfikat Nowaka i PCSS • Klucz publiczny VERISIGN jest na liście domyślnie akceptowanych certyfikatów (np. w Netscape i MSIE) • Kowalski jest uwierzytelniony

  17. Certyfikat proxy • Certyfikat jest standardowo chroniony hasłem • Użycie zwykłego certyfikatu do komunikacji wymagałoby podawania hasła przy przesyłaniu każdej wiadomości lub zlecaniu każdego zadania • Certyfikat proxy jest certyfikatem podpisanym przez użytkownika, nie wymagającym hasła, za to o krótkim terminie ważności.

  18. Jak uzyskać dostęp do Clusterixa? • Skontaktować się z administratorem w najbliższym ośrodku w celu założenia konta. • Uzyskać certyfikat podpisany przez Polish Grid CA. • Uzyskać wpis do serwisu VOIS – za pośrednictwem administratora w ośrodku.

  19. Szyfrowanie • Algorytm z kluczem symetrycznym • Ten sam klucz jest używany do szyfrowania i odszyfrowywania. • Algorytm z kluczami asymetrycznymi • Wiadomość zaszyfrowaną przy pomocy jednego klucza można odszyfrować WYŁĄCZNIE przy użyciu drugiego klucza • Duża złożoność obliczeniowa

  20. Klucze • Klucz prywatny – używany tylko przez właściciela – należy go chronić i nikomu nie udostępniać • Dla bezpieczeństwa klucz prywatny może być chroniony hasłem • Klucz publiczny – dostępny dla wszystkich

  21. Szyfrowanie danych A wysyła wiadomość do B A musi znać klucz publiczny B Klucz publiczny ... lub czasopisma. ... lub czasopisma. 0Hgdasy6h9h1jqP Klucz prywatny Szyfrowanie Przesyłanie Odszyfrowanie

  22. Podpis cyfrowy A wysyła wiadomość do B B musi znać klucz publiczny A Klucz publiczny Kupuj akcje. Podpis-OK Kupuj akcje. 082C67A78D Klucz prywatny Weryfikacja Podpisanie Przesyłanie

  23. Certyfikat X509 • Tekst zawierający: • Unikalną nazwę użytkownika (maszyny, serwisu) • Datę ważności (najczęściej 1 rok) • Klucz publiczny • Powyższy tekst jest podpisany kluczem prywatnym CA

  24. Klucz publiczny A Kupuj akcje. 082C67A78D Certyfikat A wysyła wiadomość do B z kluczem publicznym w certyfikacie B musi ufać (znać klucz publiczny) wystawcy certyfikatu Kupuj akcje. Certyfikat-OK Klucz prywatny + (hasło) Weryfikacja Podpisanie Przesyłanie

  25. CA • Jest to certyfikat podpisany samym sobą (Subject=Issuer) • Tylko od użytkownika/administratora zależy zaufanie dla danego CA • Ufamy, że CA prawidłowo wystawia certyfikaty i tylko dla osób o potwierdzonej tożsamości • Każdy może utworzyć CA

More Related